Hechos clave:
- Glupteba usa la blockchain de bitcoin para actualizar su dirección de servidor C2.
- Glupteba obtiene la información de las transacciones del llavero Electrum de bitcoin.
Ocho años después de su primera distribución, el malware Glupteba utiliza la blockchain de Bitcoin para actualizar la dirección de su servidor y mantener su peligrosidad. Así lo informó un equipo de investigadores que analizó un ataque malicioso que distribuía este virus.
Según una publicación de Trend Micro realizada este cuatro de septiembre, la distribución del malware se realiza mediante publicidad maliciosa. Se identificó que el malware utiliza el exploit EternalBlue, el mismo usado por virus como WannaMine, para moverse a redes locales y, como el anterior, ejecutar mineros de criptomonedas como Monero (XMR).
MalwareBytes definió a Glupteba como un troyano de puerta trasera, que permite a los ciberdelincuentes realizar acciones en el sistema afectado, en este caso, Windows. Un troyano es un programa que afirma realizar una acción, pero en realidad ejecuta otra, que es generalmente maliciosa e incluye el robo de información o el control del dispositivo.
Los investigadores de Trend Micro determinaron que la descarga de Glupteba incluye un ladrón de datos confidenciales que ataca el navegador para obtener información que es enviada a un servidor remoto; así como un explorador de enrutadores. Este último es un recurso del malware Glupteba para utilizar la información de transacciones de Bitcoin y actualizar su servidor de Mando y Control (C2), recurso que sirve para controlar y difundir el malware hacia otros servidores.
El explorador ataca a los enrutadores MikroTik en la red local con una vulnerabilidad específica. Luego, programa una tarea en el enrutador para C2 y carga las credenciales de administrador que han sido robadas en un servidor remoto.
El malware aprovecha la transparencia de la blockchain de Bitcoin, que permite a cualquiera consultar las transacciones realizadas. Gracias a la función discoverDomain, y el uso de la información de transacciones de Bitcoin, el malware Glupteba enumera los servidores del llavero Electrum (llavero que ha sido objeto de múltiples ataques por los ciberdelincuentes) y obtiene la información de los servidores.
Para lograrlo, consulta el historial de hash del script con un hash codificado. De la lista de transacciones obtenidas, busca aquellas que contengan la instrucción OP_RETURN (un método para almacenar datos en la blockchain, marcando una transacción saliente como inválida) y proporciona datos cifrados mediante AES que contienen sus direcciones de dominio C2.
El malware Glupteba formó parte de la Operación Windigo, pero en 2018 parece haberse independizado de este grupo y ahora hace uso de la blockchain de Bitcoin. La Operación Windigo fue un conjunto de programas maliciosos distribuidos por un mismo actor, destinados al robo de credenciales mediante la infección de equipos y servidores. Como parte de la Operación Windigo, Glupteba se distribuyó a través de kits de exploits a los usuarios de Windows.
Trend Micro incluyó entre las recomendaciones para evitar este tipo de infección un enfoque de seguridad de varias capas, que cubra la puerta de enlace, los puntos finales, las redes y los servidores. Herramientas que puedan detectar archivos y URL maliciosas fueron las mencionadas por el equipo para proteger los sistemas. Calificándolo como un troyano de alto riesgo, ya que puede ser usado como puerta trasera para la distribución de Ransomware, HowtoRemove. Guide publicó una serie de instrucciones para eliminar este programa malicioso del equipo.
